Creación de un marco legal para la protección de datos personales

Continuando con la 43 Sesión, en la tarde del 11 de marzo, la Comisión Permanente de la Asamblea Nacional emitió opiniones sobre el proyecto de Ley de Protección de Datos Personales.

7 principios de protección de datos personales

La presentación del Gobierno indicó que, si bien existen hasta 69 documentos legales directamente relacionados con la protección de datos personales en Vietnam, aún no se ha llegado a un acuerdo sobre el concepto y el contenido de los datos personales y la protección de datos personales. Solo el Decreto n.º 13/2023/ND-CP, de 17 de abril de 2024, del Gobierno sobre protección de datos personales, define ambos aspectos.

Sin embargo, se trata únicamente de un decreto, no de una ley, por lo que debe implementarse de manera uniforme en la práctica. Es necesario que exista una ley que sirva de "ley original", con principios que contribuyan a seguir institucionalizando las disposiciones de la Constitución y las leyes sobre el derecho a la protección de la privacidad personal y los derechos humanos.

El desarrollo de la Ley de Protección de Datos Personales tiene como objetivo perfeccionar el sistema legal de protección de datos personales en nuestro país, crear un corredor legal para la protección de datos personales, mejorar la capacidad de protección de datos personales de las organizaciones nacionales y de los individuos para alcanzar niveles internacionales y regionales; promover el uso legal de datos personales para servir al desarrollo socioeconómico .

El Proyecto de Ley de Protección de Datos Personales consta de 7 capítulos y 69 artículos; regulando la protección de datos personales y la responsabilidad de las agencias, organizaciones e individuos relevantes para proteger los datos personales con 7 contenidos principales, específicamente:

Unificar la terminología y desarrollar algunos conceptos importantes sobre la protección de datos personales, tales como: datos personales; protección de datos personales; aclarar los conceptos y contenidos de datos personales básicos, datos personales sensibles, datos no personales, desidentificación de datos personales; identificar de manera precisa y completa las actividades de procesamiento de datos personales; los roles de las partes en las actividades de procesamiento.

Desarrollar 7 principios de protección de datos personales, entre ellos: licitud, transparencia, finalidad, limitación, exactitud, seguridad, tiempo limitado de conservación y responsabilidad.

Especifica los derechos y obligaciones de los interesados.

Reglamento sobre las condiciones de protección de datos personales para organizaciones que prestan servicios de tratamiento de datos personales; servicios que prestan organizaciones de protección de datos personales y expertos en protección de datos personales; servicios de calificación crediticia en materia de protección de datos personales; y servicios que certifican la elegibilidad para la capacidad de protección de datos personales.

Exige una evaluación del impacto del tratamiento de datos personales y su transferencia al extranjero como compromiso legal para las actividades de tratamiento de datos personales. Para ser coherente con el desarrollo de la ciencia y la tecnología y los tipos de empresas actuales, el proyecto no estipula una forma de inspección previa (registro), sino que realiza una inspección posterior (verificación y evaluación) del tratamiento de datos personales y la transferencia transfronteriza de datos personales.

Normativa completa sobre medidas básicas de protección de datos personales, datos personales sensibles, condiciones para garantizar las actividades de protección de datos personales, agencias especializadas en protección de datos personales y el Portal Nacional de Información de Protección de Datos Personales.

Reglamento sobre la gestión estatal de la protección de datos personales, responsabilidades de los ministerios y ramas pertinentes en la dirección del Gobierno unificando la implementación de la gestión estatal de la protección de datos personales; el Ministerio de Seguridad Pública es el organismo focal responsable ante el Gobierno de implementar la gestión estatal de datos personales, excepto en el ámbito del Ministerio de Defensa Nacional; responsabilidades del controlador de datos personales, procesador de datos, controlador y procesador de datos, tercero, organizaciones e individuos pertinentes.

Revisar y complementar los actos prohibidos

En su revisión preliminar del proyecto de Ley, la Comisión de Defensa Nacional, Seguridad y Asuntos Exteriores de la Asamblea Nacional afirmó que los datos personales desempeñan un papel particularmente importante, constituyen una fuente estratégica de información y tienen un impacto directo e integral en la política, la economía, la sociedad, la defensa, la seguridad y los asuntos exteriores de un país. Sin embargo, la protección de los datos personales ha sido laxa en el pasado, lo que ha permitido la recopilación, los ataques, la apropiación y el comercio ilegal de datos personales.

Presidente del Comité de Defensa Nacional, Seguridad y Asuntos Exteriores, Le Tan Toi.

Si bien actualmente existen numerosos documentos legales relacionados con la protección de datos personales, su contenido aún es disperso e inconsistente. El Decreto Gubernamental n.º 13/2023/ND-CP, de 17 de abril de 2024, sobre protección de datos personales, ya entró en vigor, pero se trata de un documento sublegal, no garantiza validez legal, no se ajusta a las disposiciones de la Constitución y no es lo suficientemente sólido para prevenir y abordar infracciones.

Por tanto, es de suma necesidad el desarrollo de la Ley de Protección de Datos Personales, satisfaciendo los requisitos de protección de datos personales; previniendo actos de vulneración de datos personales; potenciando la responsabilidad de agencias, organizaciones e individuos; asegurando el valor legal para una implementación unificada.

En cuanto a los actos prohibidos (Artículo 7), el presidente del Comité, Le Tan Toi, indicó que algunas opiniones sugerían revisar y complementar otros actos prohibidos para abarcar plenamente cada grupo de actividades y cada tipo de sujeto que protege datos personales. Se recibieron opiniones que sugerían complementar los actos prohibidos relacionados con cinco formas de compraventa de datos personales, según lo indicado en la presentación del Gobierno.

En cuanto a la protección de datos personales en los servicios de marketing y publicidad, el Comité Permanente de la Comisión Nacional de Defensa, Seguridad y Asuntos Exteriores coincide básicamente con esta normativa. Sin embargo, existen opiniones que consideran que la normativa que prohíbe la contratación de terceros no es viable ni adecuada para la práctica, dado que la industria del marketing y la publicidad depende del ecosistema digital.

Hay sugerencias de que se puede permitir que un tercero lo haga si se garantiza la confidencialidad, existe un contrato con responsabilidades claras y deben existir disposiciones transitorias similares a las disposiciones sobre Organizaciones de Protección de Datos Personales y Expertos en Protección de Datos Personales en el Artículo 68 del proyecto de Ley.

Además, el organismo de inspección también propuso revisar cuidadosamente las regulaciones sobre las organizaciones de protección de datos personales (Artículo 39), los expertos en protección de datos personales (Artículo 40), los servicios comerciales de las organizaciones de protección de datos personales, los expertos en protección de datos personales (Artículo 41) para garantizar los requisitos de gestión estatal y alentar la creatividad, liberar todas las fuerzas productivas y abrir todos los recursos para el desarrollo; reducir y simplificar completamente los procedimientos administrativos, las condiciones de inversión para la producción y los negocios, reducir los costos de cumplimiento y crear las condiciones más favorables para las personas y las empresas.